有很多关于password_hash()函数的问题,但没有回答我的问题:
我正在尝试查找有关password_hash函数返回值的信息。我只看到它返回实际的哈希值。
我打算在SQL表中保存哈希值。
哈希是否包含引号?如果它可以包含引号,我必须在插入之前转义散列吗?
谢谢
答案 0 :(得分:2)
对于SQL注入,不需要转义BCrypt哈希。由password_hash()计算的BCrypt哈希是base64编码的,它只包含"无害"这个字母的字符...
./0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz
...加上&符号来分隔参数。也就是说,当然使用参数化查询仍然是一个好主意。